Podstawowe pojęcia używane w RODO zostały przez prawodawcę unijnego zdefiniowane w art. 4 tego aktu, który składa się z 26 punktów. Dzięki znajomości tych definicji prawnych możliwe jest właściwe rozumienie przepisów o ochronie danych osobowych.
„Dane osobowe” zostały w art. 4 RODO zdefiniowane jako pierwsze. Jest to jedno z kluczowych pojęć wykorzystywanych w RODO. Wielu osobom wydaje się, że znają definicję tego sformułowania, ale czy rozumieją ją prawidłowo?
DEFINICJA
Zgodnie z art. 4 pkt. 1 RODO dane osobowe są to „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (<<osobie, której dane dotyczą>>)”. Zgodnie z drugą częścią definicji „(…) możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
ISTOTA DANYCH OSOBOWYCH
Zgodnie z przytoczonym wyżej fragmentem istotą omawianego pojęcia jest możliwość odniesienia informacji do konkretnej osoby fizycznej (zarówno już zidentyfikowanej, jak i takiej, którą można zidentyfikować). Prawodawca wskazał jedynie przykładowe informacje, jakie są danymi osobowymi i ponadto pozwalają na identyfikację osoby. Nie określił natomiast pozostałych kategorii informacji (poza identyfikacyjnymi), jakie mieściłyby się w definicji.
Jak słusznie wskazuje prof. P. Fajgielski „Mogą to być zarówno informacje, które identyfikują osobę (m.in. imię, nazwisko, adres, numer identyfikacyjny, wizerunek), jak też informacje, które odnoszą się do jej cech lub statusu osobistego (m.in. stan cywilny, obywatelstwo, stan zdrowia, wykształcenie, karalność) lub informacje o charakterze rzeczowym (m.in. wysokość wynagrodzenia, stan posiadania, stosunki własnościowe)” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Warszawa 2022).
Można wręcz postawić tezę, że wskazanie wszystkich rodzajów informacji mieszczących się w pojęciu danych osobowych jest niemożliwe. Dlatego pojęcie to ma charakter otwarty i może obejmować rozmaite informacje nt. konkretnej osoby. Mogą to być również nowe, nieznane dotąd kategorie danych. Dla uznania konkretnych informacji za dane osobowe nie ma znaczenia forma, w jakiej zostały one przedstawione. W związku z tym danymi osobowymi mogą być informacje wyrażone za pomocą słów, zdjęć czy też nagrań audio lub wideo. Mogą być one utrwalone zarówno na nośnikach papierowych (np. notes), jak i informatycznych (np. dysk sieciowy).
Podsumowując i podkreślając znaczenie definicji prawnej można stwierdzić, że jeśli jesteśmy w stanie zidentyfikować konkretną osobę (jednoznacznie odróżnić ją od innych), to wszelkie utrwalone informacje na jej temat stanowią dane osobowe. Nie ma przy tym znaczenia, kto jest w stanie dokonać tej identyfikacji. Wystarczy, że na podstawie zgromadzonego zestawu danych pewna osoba będzie w stanie z całą pewnością rozpoznać, że dotyczą one właśnie jej albo kogoś jej znanego.
RODO NIE DOTYCZY INFORMACJI O OSOBIE PRAWNEJ
Pojęcie „osób prawnych” definiuje w polskim porządku prawnym Kodeks cywilny (k.c.). Zgodnie z art. 33 k.c. „Osobami prawnymi są Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną”. Osobą prawną będzie zatem m.in. wspomniany w samej definicji Skarb Państwa, przedsiębiorstwa państwowe, jednostki samorządu terytorialnego (np. Urzędy Gminy, Urzędy Wojewódzkie itp.), szkoły, uczelnie i spółki kapitałowe (np. spółka z ograniczoną odpowiedzialnością, spółka akcyjna itp.).
RODO nie dotyczy osób prawnych. Przykładowo informacje o firmie, NIP, REGON czy adres siedziby spółki nie stanowią danych osobowych, ponieważ same w sobie nie dotyczą one osób fizycznych. Podkreśla to motyw (14) RODO, zgodnie z którym „(…) Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.
Należy jednak pamiętać, że numer NIP czy REGON przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą są danymi osobowymi. Za ich pomocą np. w CEiDG można ustalić imię i nazwisko konkretnego przedsiębiorcy, który nie jest osobą prawną.
RODO NIE DOTYCZY INFORMACJI O ZMARŁYCH
Po śmierci osoby fizycznej informacje na jej temat przestają być objęte ochroną przewidzianą w RODO. Jak tłumaczy P. Fajgielski „Wynika to z faktu, iż prawo do ochrony danych osobowych jest prawem o czysto osobistym charakterze, ściśle powiązanym z osobą, której przysługuje. Z chwilą śmierci ustaje możliwość bycia podmiotem praw i obowiązków, a co za tym idzie – kończy się przewidziana prawem ochrona osoby, której dane dotyczą. Wynika to również z braku możliwości realizacji uprawnień przez podmiot danych” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Warszawa 2022).
Ponadto w motywie (27) RODO podkreślono, że „Niniejsze rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych (…)”. Na gruncie przepisów RODO należy więc przyjąć, że podmiotem danych może być jedynie osoba żyjąca. A zatem nie stosuje się przepisów RODO wobec zmarłych.